1、第九章第九章 網絡信息平安網絡信息平安吳 旭 北京郵電大學計算機學院本章主要內容9.1 網絡信息平安概述網絡信息平安概述9.2 計算機病毒計算機病毒9.3 惡意軟件惡意軟件9.4 Windows系統平安管理系統平安管理9.5 信息平安的管理信息平安的管理2 信息平安的任務是保護信息財產，以防止偶然的或未授權者對信息的惡意泄露、修改和破壞，從而導致信息的不可靠或無法處理等。 網絡信息平安指的是通過對計算機網絡系統中的硬件、數據以及程序等不會因為無意或者惡意的被破壞、篡改和泄露，防止非授權用戶的訪問或者使用，系統可以對效勞保持持續和連續性，能夠可靠的運行。39.1.1 信息平安的根底知識1. 信息

2、平安屬性信息平安屬性(1) 完整性完整性Integrity(2) 保密性保密性Confidentiality(3) 可用性可用性Availability(4) 不可否認性不可否認性Non-repudiation(5) 可控性可控性Controllability4(1) 完整性Integrity 完整性是指信息在存儲或傳輸的過程中保持未經授權不能改變的特性。即對抗主動攻擊，保證數據的一致性，防止數據被非法用戶修改和破壞。對信息平安發動攻擊的最終目的是破壞信息的完整性。5(2) 保密性Confidentiality 保密性是指信息不被泄露給未經授權者的特性，即對抗被動攻擊，以保證機密信息不會泄露給

3、非法用戶。6(3) 可用性Availability 可用性是指信息可被授權者訪問并按需求使用的特性，即保證合法用戶對信息和資源的使用不會被不合理地拒絕。對可用性的攻擊就是阻斷信息的合理使用，例如破壞系統的正常運行就屬于這種類型的攻擊。7(4) 不可否認性Non-repudiation 不可否認性也稱為不可抵賴性，即所有參與者都不可能否認或抵賴曾經完成的操作和承諾。發送方不能否認已發送的信息，接收方也不能否認已收到的信息。8(5) 可控性Controllability 可控性是指對信息的傳播及內容具有控制能力的特性。授權機構可以隨時控制信息的機密性，能夠對信息實施平安監控。92. 信息平安威脅

4、信息平安威脅是指某個人、物、事件或概念對信息資源的保密性、完整性、可用性或合法使用所造成的危險。 物理平安威脅。 通信鏈路平安威脅。 操作系統平安威脅。 管理系統平安威脅。 網絡平安威脅。 103. 信息平安的實現 至少3類措施： 技術方面的平安措施 管理方面的平安措施 相應的政策法律。11信息平安的技術措施主要有：1信息加密2數字簽名3數據完整性4身份鑒別5訪問控制6數據備份和災難恢復127網絡控制技術8反病毒技術9平安審計10業務填充11路由控制機制12公證機制9.1.2 信息加密技術 加密技術可以有效保證數據信息的平安，可以防止信息被外界破壞、修改和瀏覽，是一種主動防范的信息平安技術。1

5、3信息加密技術的原理 將公共認可的信息明文通過加密算法轉換成不能夠直接被讀取的、不被認可的密文形式，這樣數據在傳輸的過程中，以密文的形式進行，可以保證數據信息在被非法的用戶截獲后，由于數據的加密而無法有效地理解原文的內容，確保了網絡信息的平安性。 在數據信息到達指定的用戶位置后，通過正確的解密算法將密文復原為明文，以供合法用戶進行讀取。14 對于加密和解密過程中使用到的參數，我們稱之為密鑰。 密鑰加密技術的密碼體制分為對稱密鑰體制和非對稱密鑰體制兩種。151. 對稱加密技術 對稱加密采用了對稱密碼編碼技術，它的特點是文件加密和解密使用相同的密鑰或者由其中的任意一個可以很容易地推導出另外一個，即

6、加密密鑰也可以用作解密密鑰，這種方法在密碼學中叫做對稱加密算法。1617對稱加密示意圖 對稱密碼有一些很好的特性,如運行占用空間小,加、解密速度快 但它們在進行密鑰交換、密鑰管理等方面也有明顯示的缺陷182非對稱加密技術 非對稱加密技術需要兩個密鑰：公開密鑰publickey和私有密鑰privatekey。 公開密鑰與私有密鑰是一對，如果用公開密鑰對數據進行加密，只有用對應的私有密鑰才能解密；如果用私有密鑰對數據進行加密，那么只有用對應的公開密鑰才能解密。 因為加密和解密使用的是兩個不同的密鑰(加密密鑰和解密密鑰不可能相互推導得出)，所以這種算法叫作非對稱加密算法。 1920公開密鑰加密示意圖

7、 非對稱密碼體制的主要優點是可以適應開放性的使用環境，密鑰管理問題相對簡單，可以方便、平安地實現數字簽名和驗證。 但公開密鑰加密相對低效率213電子信封技術 結合對稱加密技術和非對稱密鑰加密技術的優點，產生了電子信封技術 電子信封技術在外層使用公開密鑰技術，解決了密鑰的管理和傳送問題， 由于內層的對稱密鑰長度通常較短，公開密鑰加密的相對低效率被限制到最低限度，而且每次傳送都可由發送方選定不同的對稱密鑰，更好的保證數據通信的平安性。2223電子信封技術的原理 9.1.3 信息認證技術1. 數字簽名數字簽名是在公鑰密碼體制下很容易獲得的一種效勞，它的機制與手寫簽名類似：單個實體在數據上簽名，而其他

8、的實體能夠讀取這個簽名并能驗證其正確性。 2425數字簽名與驗證過程示意圖 2. 身份認證 身份認證是指計算機及網絡系統確認操作者身份的過程。 261 認證的方式 雙方共享的數據，如口令； 被認證方擁有的外部物理實體，如智能平安存儲介質； 被認證方所特有的生物特征，如指紋、語音、虹膜、面相等。272生物特征認證技術 以人體惟一的、可靠的、穩定的生物特征為依據，采用計算機的強大功能和網絡技術進行圖像處理和模式識別，具有更好的平安性、可靠性和有效性。 用于生物識別的生物特征有手形、指紋、臉形、虹膜、視網膜、脈搏、耳廓等，行為特征有簽字、聲音、按鍵力度等。 28優點：不易遺忘或喪失；防偽性能好，不易

9、偽造或被盜；“隨身攜帶，隨時隨地可用。29生物特征認證系統結構圖 3數字認證技術1口令認證2動態口令認證口令隨時間的變化而變化，這樣每次接入系統時都是一個新的口令 3數字證書是證明實體所聲明的身份和其公鑰綁定關系的一種電子文檔，是將公鑰和確定屬于它的某些信息比方該密鑰對持有者的姓名、電子郵件或者密鑰對的有效期等信息相綁定的數字申明。309.1.4 網絡防火墻技術 網絡防火墻是一種用來加強網絡之間訪問控制、防止外部網絡防止外部網絡用戶以非法手段通過外部網絡進入內部網絡，訪問內部網絡資源，保護內部網絡操作環境的特殊網絡互連設備。 3132網絡防火墻網絡防火墻 1. 防火墻的作用1過濾進出網絡的數據

10、包 2保護端口信息 3管理進出網絡的訪問行為 4過濾后門程序 5保護個人資料 6對攻擊行為進行檢測和報警 33防火墻組成要素 內部網內部網：需要受保護的網。 外部網外部網：需要防范的外部網絡。 技術手段技術手段：具體的實施技術。342. 基于防火墻的VPN技術 虛擬專用網(Virtual Private Network ，簡稱VPN)指的是在公用網絡上建立專用網絡的技術。 整個VPN網絡的任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路，而是架構在公用網絡效勞商所提供的邏輯網絡平臺，用戶數據在邏輯鏈路中傳輸。 3536 虛擬專用網虛擬專用網VPN示意圖示意圖 3. 常用防火墻 比方C

11、isco PIX防火墻、微軟ISA Server、天網防火墻系統等等。 在一般情況下，用戶可以通過Windows系統自帶的防火墻對來自計算機網絡的病毒或木馬攻擊進行防范。 379.1 網絡信息平安概述網絡信息平安概述9.2 計算機病毒計算機病毒9.3 惡意軟件惡意軟件9.4 Windows系統平安管理系統平安管理9.5 信息平安的管理信息平安的管理38本章主要內容9.2 計算機病毒9.2.1 計算機病毒的概念與特點?中華人民共和國計算機信息系統平安保護條例?中明確定義：病毒指“編制或者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。3

12、9計算機病毒的特征 1) 傳染性。 2) 未經授權而執行。 3) 隱蔽性。 4) 潛伏性。 5) 破壞性。 6) 變異性。409.2.2 計算機病毒的分類與危害源碼型病毒源碼型病毒病毒并不感染可執行的文件，而是感染源代碼，病毒并不感染可執行的文件，而是感染源代碼，使源代碼在被高級編譯語言編譯后具有一定的破使源代碼在被高級編譯語言編譯后具有一定的破壞、傳播的能力。壞、傳播的能力。操作系統型病毒操作系統型病毒將自己附加到操作系統中或者替代局部操作系統將自己附加到操作系統中或者替代局部操作系統進行工作，有很強的復制和破壞能力。進行工作，有很強的復制和破壞能力。411按入侵途徑分類按入侵途徑分類源碼型

13、病毒、操作系統型病毒、外殼型病毒、入侵型病毒外殼型病毒外殼型病毒將其自己包圍在主程序的四周，對原來的程序將其自己包圍在主程序的四周，對原來的程序不做修改，在文件執行時先行執行此病毒程序，不做修改，在文件執行時先行執行此病毒程序，從而不斷地復制，等病毒執行完畢后，轉回到從而不斷地復制，等病毒執行完畢后，轉回到原文件入口運行。原文件入口運行。入侵型病毒入侵型病毒可用自身代替正常程序中的局部模塊或堆棧區。可用自身代替正常程序中的局部模塊或堆棧區。因此這類病毒只攻擊某些特定程序，針對性強。因此這類病毒只攻擊某些特定程序，針對性強。42引導型病毒引導型病毒感染對象是計算機存儲介質的引導區。感染對象是計算

14、機存儲介質的引導區。病毒將自身的全部或局部邏輯取代正常的引導病毒將自身的全部或局部邏輯取代正常的引導記錄，而將正常的引導記錄隱藏在介質的其他記錄，而將正常的引導記錄隱藏在介質的其他存儲空間。存儲空間。由于引導區是計算機系統正常啟動的先決條件，由于引導區是計算機系統正常啟動的先決條件，所以此類病毒可在計算機運行前獲得控制權，所以此類病毒可在計算機運行前獲得控制權，其傳染性較強，其傳染性較強，如如Bupt，Monkey，CMOS dethroner等。等。432. 按感染對象分類按感染對象分類引導型病毒，文件型病毒和混合型病毒。文件型病毒文件型病毒感染對象是計算機系統中獨立存在的文件。感染對象是計

15、算機系統中獨立存在的文件。病毒將在文件運行或被調用時駐留內存，傳染，病毒將在文件運行或被調用時駐留內存，傳染，破壞，如破壞，如Dir II，Honking，宏病毒、，宏病毒、CIH等。等。混合型病毒混合型病毒感染對象是引導區或文件，該病毒具有復雜的感染對象是引導區或文件，該病毒具有復雜的算法，采用非常規方法侵入系統，同時使用加算法，采用非常規方法侵入系統，同時使用加密和變形算法，如密和變形算法，如One half，V3787等。等。44良性計算機病毒良性計算機病毒 指其不包含有立即對計算機系統產生直接破壞作用的代碼。這類病毒不會對磁盤信息和用戶數據產生破壞，只是對屏幕產生干擾，或使計算機的運行

16、速度大大降低，如毛毛蟲、歡樂時光病毒等。惡性計算機病毒惡性計算機病毒 指在其代碼中包含有損傷和破壞計算機系統的操作，在其傳染或發作時會對系統產生直接的破壞作用，有極大的危害性，如CIH病毒等。453. 按照計算機病毒的破壞情況分類按照計算機病毒的破壞情況分類良性計算機病毒、惡性計算機病毒9.2.3 網絡防病毒技術 特征代碼法 是檢測計算機病毒的根本方法，其將各種病毒的特征代碼串組成病毒特征代碼數據庫。 通過各種工具軟件檢查、搜索可疑計算機系統可能是文件、磁盤、內存等等時，用特征代碼數據庫中的病毒特征代碼逐一比較，就可確定被檢計算機系統感染了何種病毒。 461. 反病毒技術反病毒技術防范計算機病

17、毒的根本方法 1不輕易上一些不正規的網站， 2千萬提防電子郵件病毒的傳播， 3對于渠道不明的光盤、U盤等便攜存儲器，使用之前應該查毒。 4經常關注一些網站、BBS發布的病毒報告， 5對于重要文件、數據做到定期備份 6經常升級系統。 7不能因為擔憂病毒而不敢使用網絡，那樣網絡就失去了意義。472. 常用反病毒軟件 比方：北京瑞星科技股份開發的瑞星殺毒軟件、金山軟件股份研制開發的金山毒霸反病毒軟件和北京冠群金辰軟件自主研發的KILL系列防病毒產品等等。489.1 網絡信息平安概述網絡信息平安概述9.2 計算機病毒計算機病毒9.3 惡意軟件惡意軟件9.4 Windows系統平安管理系統平安管理9.5

18、 信息平安的管理信息平安的管理49本章主要內容9.3.1 惡意軟件的定義與特征 中國互聯網協會公布的“惡意軟件定義為“在未明確提示用戶或未經用戶許可的情況下，在用戶計算機或其他終端上安裝運行，侵犯用戶合法權益的軟件，但已被我國現有法律法規規定的計算機病毒除外。50具有不可知性與不可控制性，特征如下具有不可知性與不可控制性，特征如下：1強制安裝2難以卸載3瀏覽器劫持4廣告彈出5惡意收集用戶信息516惡意卸載7惡意捆綁8其他侵害用戶軟件安裝、使用和卸載知情權、選擇權的惡意行為9.3.2 惡意軟件的分類與危害惡意軟件的分類與危害1 惡意軟件的分類惡意軟件的分類1廣告軟件廣告軟件2間諜軟件間諜軟件3瀏

19、覽器劫持瀏覽器劫持4行為記錄軟件行為記錄軟件5搜索引擎劫持搜索引擎劫持軟件軟件526自動撥號軟件7惡意共享軟件8網絡釣魚軟件9ActiveX控件2惡意軟件的危害1從整體上降低電腦運行效率。2阻礙人們的正常網絡活動。3危害網絡信息的平安539.3.3 惡意軟件的防治措施1加強系統平安設置加強系統平安設置1及時更新系統補丁及時更新系統補丁2嚴格賬號管理嚴格賬號管理3關閉不必要的效勞和端口關閉不必要的效勞和端口542養成良好的電腦使用習慣1不要隨意翻開不明網站2盡量到知名網站下載軟件3安裝軟件時要“細看慢點4禁用或限制使用Java程序及ActiveX控件5增強法律保護意識、保護個人隱私553惡意軟件

20、的去除1手工去除2借助專業去除軟件569.1 網絡信息平安概述網絡信息平安概述9.2 計算機病毒計算機病毒9.3 惡意軟件惡意軟件9.4 Windows系統平安管理系統平安管理9.5 信息平安的管理信息平安的管理57本章主要內容2022-2-25589.4.1 Windows平安機制1. 活動目錄效勞活動目錄效勞活動目錄是一種包含效勞功能的目錄，活動目錄是一種包含效勞功能的目錄，它可以作到它可以作到“由此及彼的聯想、映射。由此及彼的聯想、映射。域間信任關系域間信任關系組策略平安管理組策略平安管理身份鑒別與訪問控制身份鑒別與訪問控制 2022-2-25592.認證效勞認證效勞 用戶身份認證通過對

21、登錄用戶的鑒別，證明登錄用戶的合法身份，從而保證系統的平安。 3. 加密文件系統加密文件系統Windows提供了加密文件系統EFS來保護本地系統，如硬盤中的數據平安。2022-2-2560Windows 7 加密文件設置 2022-2-25614. 平安模板平安模板 平安模板Security Template是平安配置的實際表達，它是一個可以存儲一組平安設置的文件。5. 平安賬號管理器平安賬號管理器 平安賬號管理器SAMSecurity Account Manager是Windows的用戶賬號數據庫，所有用戶的登錄名及口令等相關信息都會保存在這個文件中。 2022-2-2562使用MMC的平安

22、模板插件創立和修改平安模板 2022-2-2563Windows 7 用戶賬戶設置內容 2022-2-2564Windows 7 更改賬戶密碼內容 2022-2-25656. 平安審核平安審核 允許用戶監視與平安性相關的事件如失敗的登錄嘗試，因此，可以檢測到攻擊者和試圖危害系統數據的事件。 2022-2-25669.4.2 Windows平安漏洞與防范措施1. LSASS相關漏洞2. RPC接口相關漏洞3. IE瀏覽器漏洞4. URL處理漏洞目前最好的防范措施，是給Windows操作系統打上最新補丁，優化系統平安性配置，輔之以殺毒軟件等5. URL標準漏洞6. FTP溢出系列漏洞7. GDI

23、漏洞9.4.3 Windows 平安中心1自動更新設置自動更新設置定期檢查重要更新，自動完成從網上下載補丁程序并進行安裝。672022-2-2568Windows 7 自動更新設置2防火墻設置 使用防火墻可以設置某個應用程序或效勞是否接受來自網絡的訪問，以維護計算機的平安。69Windows7 防火墻設置703. Windows Defender Windows Defender是一款間諜軟件防護工具，在Windows XP及以下版本中都不存在。 在Windows 7中可以隨時使用該軟件掃描計算機中是否存在間諜軟件，以保證用戶信息的平安。71Windows Defender界面729.1 網絡信息平安概述網絡信息平安概述9.2 計算機病毒計算機病毒9.3 惡意軟件惡意軟件9.4 Windows系統平安管理系統平安管理9.5 信息平安的管理信息平安